Sunburst: Почему это опаснейшая кибератака в истории и причем здесь Россия

Целью было правительство США?

Вы наверняка видели на своем ноутбуке или телефоне предупреждение: «Доступно обновление. Нажмите, чтобы скачать». Нас постоянно призывают обновиться, чтобы улучшить работу приложений, снизив риск взлома и устранив программные неполадки.

Поэтому не удивительно, что около 18 тыс. сотрудников департаментов информационных технологий в компаниях и правительственных учреждениях, увидев на экранах своих компьютеров уведомление о необходимости установки обновления популярной программы SolarWinds, тут же послушно его скачали, сообщает bbc.com.

Но они и не догадывались, что это была ловушка. Не догадывались об этом и в самой SolarWinds.

За неделю до этого компьютеры этой компании были взломаны, и это позволило хакерам установить небольшой секретный код в грядущее обновление.

Примерно две недели ничего не происходило. Программа ожила, оказавшись внутри нескольких тысяч компьютерных систем правительств и крупных технологических и телекоммуникационных компаний в странах Северной Америки, Европы, Азии и Ближнего Востока.

Цифровой код отправил сигнал своим создателям, сообщив, что готов выполнить задание - дать им возможность получить доступ к компьютерным системам.

В течение нескольких месяцев у команды хакеров, скорее всего, работающей на государство, оказались необыкновенно широкие возможности для шпионажа и кражи информации. Перед ними, как на ладони, были тысячи компаний.

Целью было правительство США?

Больше всего пострадало правительство США, которое, скорее всего, и было главной целью.

Как сообщается, организаторы кибератаки вскрыли компьютерные сети многих организаций, в том числе казначейства, министерства торговли и министерства национальной безопасности.

Сейчас правительства и частные компании по всему миру вычищают установленные программные продукты SolarWinds со своих компьютерных систем.

Специалисты в области компьютерной безопасности назвали кибератаку Sunburst. По их словам, потребуется несколько лет, чтобы полностью оценить ее масштаб.

Крупнейший взлом за последнее время

Исследователь в области кибербезопасности из университета Суррея Алан Вудвард говорит, что, вероятно, это была самая крупная кибератака в истории на западные правительства.

«Подумайте о том, почему государства занимаются шпионажем. Они хотят получить преимущество, и не обязательно военное преимущество, особенно если речь идет о мирном времени. Страны прикладывают немало усилий для сбора информации часто для того, чтобы получить экономическое преимущество», - говорит Алан Вудвард.

«Есть также и личностный аспект. Когда в США был взломан департамент управления персоналом, личные данные многих государственных служащих потенциально могли попасть хакерам. Доступ к этим крайне конфиденциальным данным обычно могут получить лишь те, кто прошел проверку безопасности», - добавил эксперт.

Виновата Россия?

По мнению Вудварда и многих других экспертов, некоторые признаки кибератаки указывают на то, что она была проведена Россией, хотя каких-либо подтверждений этому нет.

Специалисты из подвергшейся взлому FireEye, которые его и обнаружили, считают, что за кибератакой стоит связанная с российскими властями хакерская группировка Cosy Bear. Министерство иностранных дел России назвало подобные обвинения безосновательными.

Может пройти несколько месяцев, прежде чем США расскажут об итогах расследования. Но если Вашингтон придет к выводу, что за взломом стоит Москва, это может привести к серьезным геополитическим последствиям.

Обострение соперничества в киберпространстве

Бывший сотрудник FireEye Марина Кротофил рассказала, что инцидент может повысить напряженность в отношениях между двумя странами.

«За последние несколько лет США неоднократно вводили санкции против России, в том числе за действия военных российских хакеров. Но Россия демонстрирует, что ее это не пугает, и она не собирается прекращать свою деятельность в киберпространстве. Это приведет к еще большей напряженности между США и Россией и в конечном итоге приведет к серьезным политическим конфликтам», - сказала она.

Кибератака Sunburst вполне может быть мощным залпом в виртуальном обмене ударами между соперничающими странами - эскалацией, которая способна привести к серьезным последствиям.

«Полагаются на внешние компании»

Как отмечают эксперты, в этой ситуации наиболее тревожит то, как злоумышленники смогли внести изменения в легальный и коммерческий продукт, которым пользуются многие компании и учреждения.

«У правительств нет возможности соревноваться с Кремниевой долиной и развивать сложные программные продукты собственными силами, поэтому они полагаются в этом на внешние компании, которые все чаще становятся целью для хакеров», - рассказала основатель компании Spyglass Security Джеки Сингх, работавшая в предвыборной кампании Джо Байдена главным экспертом по кибербезопасности.

«Если группа хорошо финансируемых хакеров может успешно изменить код, который затем устанавливается как часть обычного обновления в программе, они получают такой доступ к организациям, например, правительствам, который в другой ситуации кажется немыслимым», - сказала она.

Нужно отметить, что никто не призывает людей отказаться от установки обновлений, потому что происшедшее - чрезвычайно редкое явление.

Государственные секреты под угрозой

Бывший заместитель директора по кибероперациям центра правительственной связи (GCHQ) Брайан Лорд также считает, что больше всего в случившемся беспокоит тактика, использованная для получения доступа.

Также вызывает беспокойство и то, что хакерской атаке подверглось ведомство, занимающееся вопросами государственной безопасности.

Согласно информации, опубликованной агентством Рейтер, компьютерные взломщики отслеживали электронные письма сотрудников министерства национальной безопасности, которое среди прочего занимается противодействием международным хакерам.

По мнению экспертов, этот инцидент показывает, что правительственные коммуникации могут подвергнуться кибератакам точно так же, как и обычные компании.

По словам Лорда, ныне главы компании по кибербезопасности PGI, пострадавшие играют ключевую роль в обеспечении безопасности страны и экономического благополучия ее жителей. «Защита абсолютно необходима, чтобы мы могли чувствовать себя безопасно в цифровом мире», - сказал он.

«Нам следует беспокоиться из-за того, что хакеры могут беспрепятственно получить одновременный доступ к огромному количеству организаций с помощью лишь одного метода. Масштаб вреда и ущерба может быть значительным и глобальным», - добавил он.

Службам безопасности может потребоваться несколько месяцев, чтобы выяснить, какие письма были прочитаны, документы украдены и какие пароли потребуется поменять.

Возможно, мы так и не узнаем, какая информация государственной важности была украдена, но, по словам Лорда, хакерам вряд ли удалось получить доступ к наиболее секретной информации.

«Мне кажется, можно уверенно сказать, что существуют дополнительные меры безопасности по защите наиболее секретной информации, которые подразумевают дополнительные процедуры, так что вряд ли к ним был получен прямой доступ», - сказал он.

Скорее всего, у хакеров просто не было ни времени, ни ресурсов для слежки за всеми своими многочисленными жертвами, поэтому они могли сосредоточиться лишь на небольшой их группе - скорее всего, государственных организациях.